Référence d'autorisations de déploiement d'Exchange 2010

Article
05/20/2011

Dernière rubrique modifiée : 2010-02-02

Cette rubrique décrit les autorisations nécessaires pour configurer une organisation Microsoft Exchange Server 2010. Les groupes de sécurité universels qui sont associés aux groupes de rôles de gestion, et autres groupes et principaux de sécurité Windows sont ajoutés aux listes de contrôle d'accès (ACL) de divers objets Active Directory. Les listes de contrôle d'accès déterminent les opérations qui peuvent être réalisées sur chaque objet. En comprenant les autorisations accordées à chaque groupe de rôles, groupe de sécurité ou principal de sécurité, vous pouvez déterminer les autorisations minimales requises pour installer Exchange 2010.

Dans certains cas, la liste de contrôle d'accès n'est pas appliquée à la propriété habituelle, ntSecurityDescriptor, mais à une autre telle que msExchMailboxSecurityDescriptor. Le service d'annuaire ne peut pas appliquer une sécurité non spécifiée dans le descripteur de sécurité de Windows. Dans la plupart des cas, ces listes de contrôle d'accès sont répliquées par le service de banque d'informations pour les stocker sur des objets appropriés. Cependant, il n'existe aucun outil permettant d'afficher ces listes de contrôle d'accès autrement que sous la forme de données binaires brutes.

Les colonnes d'un tableau d'autorisations contiennent les informations suivantes :

Compte Principal de sécurité auquel les autorisations sont accordées ou refusées
Type d'ACE Type d'entrée de contrôle d'accès (ACE)
- ACE Autoriser Une entrée de contrôle d'accès autoriser permet à l'utilisateur ou au groupe qui y est associé d'accéder à un élément.
- ACE Refuser Une entrée de contrôle d'accès refuser empêche l'utilisateur ou le groupe qui y est associé d'accéder à un élément.
Héritage Type d'héritage utilisé pour les objets enfants.
- Tous Indique que les autorisations s'appliquent à l'objet et tous les sous-objets.
- Desc Indique que les autorisations s'appliquent à la classe d'objets indiquée dans la ligne Sur propriété/S'applique à .
- Aucun Indique que ces autorisations ne s'appliquent qu'à l'objet.
Autorisations Autorisations octroyées au compte.
Sur propriété/S'applique à Dans certains cas, les autorisations s'appliquent uniquement à une propriété, un jeu de propriétés ou une classe d'objets donnés. Ces autorisations limitées sont spécifiées ici.
Commentaires Le cas échéant, cette colonne explique pourquoi des autorisations sont requises ou fournit d'autres informations sur les autorisations.

Les autorisations sont généralement répertoriées dans le tableau selon les noms utilisés dans la page de propriétés Sécurité d'ADSI (Active Directory Service Interfaces) Edit (AdsiEdit.msc), vue Avancé sous l'onglet Afficher/Modifier. La page des propriétés Sécurité d'ADSI Edit offre une vue beaucoup plus condensée des autorisations. L'outil LDP (Ldp.exe) affiche le masque d'accès directement sous la forme d'une valeur numérique. Le code d'installation se réfère aux autorisations par constantes prédéfinies.

Le tableau suivant présente les relations entres ces valeurs.

Page Résumé d'ADSI Edit	Vue Avancée d'ADSI Edit, onglet Afficher/Modifier	Entrées de liste de contrôle d'accès appliquées à un objet donné	Valeur binaire (masque d'accès dans LDP)
Contrôle total	Contrôle total	`WRITE_OWNER \| WRITE_DAC \| READ_CONTROL \| DELETE \| ACTRL_DS_CONTROL_ACCESS \| ACTRL_DS_LIST_OBJECT \| ACTRL_DS_DELETE_TREE \| ACTRL_DS_WRITE_PROP \| ACTRL_DS_READ_PROP \| ACTRL_DS_SELF \| ACTRL_DS_LIST \| ACTRL_DS_DELETE_CHILD \| ACTRL_DS_CREATE_CHILD`	`0x000F01FF`
Lecture	Contenu de la liste + Lire toutes les propriétés + Autorisations de lecture	`ACTRL_DS_LIST \| ACTRL_DS_READ_PROP \| READ_CONTROL`	`0x00020014`
Écriture	Écrire toutes les propriétés + Toutes les écritures validées	`ACTRL_DS_WRITE_PROP \| ACTRL_DS_SELF`	`0x00000028`
	Contenu de la liste	`ACTRL_DS_LIST`	`0x00000004`
	Lire toutes les propriétés	`ACTRL_DS_READ_PROP`	`0x00000010`
	Écrire toutes les propriétés	`ACTRL_DS_WRITE_PROP`	`0x00000020`
	Suppression	`DELETE`	`0x00010000`
	Supprimer sous-arborescence	`ACTRL_DS_DELETE_TREE`	`0x00000040`
	Autorisations de lecture	`READ_CONTROL`	`0x00020000`
	Modifier autorisations	`WRITE_DAC`	`0x00040000`
	Modifier propriétaire	`WRITE_OWNER`	`0x00080000`
	Toutes les écritures validées	`ACTRL_DS_SELF`	`0x00000008`
	Tous les droits étendus	`ACTRL_DS_CONTROL_ACCESS`	`0x00000100`
Créer tous les objets enfants	Créer tous les objets enfants	`ACTRL_DS_CREATE_CHILD`	`0x00000001`
Supprimer tous les objets enfants	Supprimer tous les objets enfants	`ACTRL_DS_DELETE_CHILD`	`0x00000002`
		`ACTRL_DS_LIST_OBJECT`	`0x00000080`

Les droits étendus sont des droits personnalisés définis par des applications individuelles. Ils sont spécifiés dans la liste de contrôle d'accès. Toutefois, ils n'ont pas de signification pour Active Directory. L'application spécifique applique tous les droits étendus. « Créer un dossier public » ou « Créer des propriétés nommées dans la banque d'informations » sont des exemples de droits Exchange étendus.

Remarque :
Pour plus d'informations sur les autorisations définies durant une installation de Microsoft Exchange Server 2003, voir la rubrique concernant l'utilisation des autorisations Active Directory dans Exchange Server 2003. Pour plus d'informations sur les autorisations définies durant une installation de Microsoft Exchange Server 2007, voir la rubrique concernant les autorisations pour la configuration d'Exchange 2007.

Pour plus d'informations sur les autorisations définies durant une installation de Microsoft Exchange Server 2003, voir la rubrique concernant l'utilisation des autorisations Active Directory dans Exchange Server 2003. Pour plus d'informations sur les autorisations définies durant une installation de Microsoft Exchange Server 2007, voir la rubrique concernant les autorisations pour la configuration d'Exchange 2007.

Préparation des autorisations héritées d'Exchange

Les tableaux d'autorisations contenus dans cette section répertorient les autorisations qui sont définies lors de l'exécution de la commande setup /PrepareLegacyExchangePermissions.

Nom unique de l'objet : DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Serveurs d'entreprise Exchange	ACE Autoriser	Tous	Propriété d'écriture	informations Exchange
Utilisateurs authentifiés	ACE Autoriser	Tous	Propriété de lecture	informations Exchange

Nom unique de l'objet : CN=AdminSDHolder,CN=Système,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Serveurs d'entreprise Exchange	ACE Autoriser	Tous	Propriété de lecture Propriété d'écriture	informations Exchange

Serveurs d'entreprise Exchange

ACE Autoriser

Tous

Propriété de lecture

Propriété d'écriture

informations Exchange

Nom unique de l'objet : CN=<organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Serveurs de domaine Exchange	ACE Autoriser	Tous	Propriété d'écriture	informations Exchange

Préparation des autorisations Active Directory

Les tableaux d'autorisations contenus dans cette section répertorient les autorisations qui sont définies lors de l'exécution de la commande Setup /PrepareAD.

Autorisations du conteneur Microsoft Exchange

Le tableau suivant présente les autorisations définies sur le conteneur Microsoft Exchange dans la partition de configuration.

Nom unique de l'objet : CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Commentaires
Compte d'installation	ACE Autoriser	Tous	Contrôle total	Ce compte est utilisé pour exécuter `/PrepareAD`.
Gestion de l'organisation	ACE Autoriser	Tous	Contrôle total
Exchange Trusted Subsystem	ACE Autoriser	Tous	Contrôle total
Serveurs Exchange	ACE Autoriser	Tous	Lecture
Utilisateurs authentifiés	ACE Autoriser	Aucun	Propriété de lecture Contenu de la liste
Gestion des dossiers publics	ACE Autoriser	Tous	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste
Installation déléguée	ACE Autoriser	Tous	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste

Autorisations du conteneur du service Microsoft Exchange Autodiscover

Le tableau suivant répertorie les autorisations qui sont définies sur le conteneur du service Autodiscover de Microsoft Exchange dans la partition de configuration.

Nom unique de l'objet : CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Serveurs Exchange	ACE Autoriser	Tous	Lecture

Autorisations du conteneur d'organisation Microsoft Exchange

Les tableaux d'autorisations contenus dans cette section répertorient les autorisations qui sont définies sur l'organisation Microsoft Exchange et les sous-conteneurs dans la partition de configuration.

Nom unique de l'objet : CN=<organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Compte(s)	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
Administrateurs d'entreprise Administrateurs de domaine racine Compte d'installation Gestion de l'organisation	ACE Refuser	Tous	Envoyer en tant que Recevoir en tant que		Les administrateurs de Windows ne sont pas autorisés à ouvrir les boîtes aux lettres.
Administrateurs d'entreprise Administrateurs de schéma Administrateurs de domaine racine Compte d'installation Gestion de l'organisation	ACE Refuser	Tous	Emprunt d'identité de services Web Exchange Sérialisation de jeton de services Web Exchange		Droit étendu
Administrateurs d'entreprise Administrateurs de schéma Administrateurs de domaine racine Compte d'installation Gestion de l'organisation Serveurs Exchange	ACE Refuser	Tous	Stockage d'accès de transport Stockage de délégation contrainte Stockage d'accès en lecture Stockage d'accès en lecture/écriture
Utilisateurs authentifiés	ACE Refuser	Desc	Propriété de lecture	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace`
Serveurs Exchange	ACE Autoriser	Tous	Contrôle d'accès
Gestion de l'organisation	ACE Autoriser	Tous	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste
Gestion des dossiers publics	ACE Autoriser	Tous	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste
Autorité NT\Service réseau	ACE Autoriser	Tous	Lecture
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`groupType`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchOwningServer`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchMailboxSecurityDescriptor`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMServerWritableFlags`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchDatabaseCreated`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUserCulture`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchMobileMailboxFlags`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`siteFolderGUID`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`siteFolderServer`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchEDBOffline`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`userCertificate`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMDtmfMap`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchBlockedSendersHash`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`Personal Information`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`Public Information`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Information`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchPatchMDB`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`publicDelegates`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMSpokenName`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMPinChecksum`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`legacyExchangeDN`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchSafeSendersHash`
Gestion de l'organisation	ACE Autoriser	Tous	Créer un dossier public de niveau supérieur
Gestion des dossiers publics	ACE Autoriser	Tous	Créer un dossier public de niveau supérieur
Gestion de l'organisation	ACE Autoriser	Tous	Afficher l'état de la banque d'informations
Gestion des dossiers publics	ACE Autoriser	Tous	Afficher l'état de la banque d'informations
Gestion de l'organisation	ACE Autoriser	Tous	Administrer la banque d'informations
Gestion des dossiers publics	ACE Autoriser	Tous	Administrer la banque d'informations
Gestion de l'organisation	ACE Autoriser	Tous	Créer des propriétés nommées dans la banque d'informations
Gestion des dossiers publics	ACE Autoriser	Tous	Créer des propriétés nommées dans la banque d'informations
Gestion de l'organisation	ACE Autoriser	Tous	Modifier la liste de contrôle d'accès des dossiers publics
Gestion des dossiers publics	ACE Autoriser	Tous	Modifier la liste de contrôle d'accès des dossiers publics
Gestion de l'organisation	ACE Autoriser	Tous	Modifier les quotas de dossiers publics
Gestion des dossiers publics	ACE Autoriser	Tous	Modifier les quotas de dossiers publics
Gestion de l'organisation	ACE Autoriser	Tous	Modifier la liste de contrôle d'accès d'administration des dossiers publics
Gestion des dossiers publics	ACE Autoriser	Tous	Modifier la liste de contrôle d'accès d'administration des dossiers publics
Gestion de l'organisation	ACE Autoriser	Tous	Modifier l'expiration des dossiers publics
Gestion des dossiers publics	ACE Autoriser	Tous	Modifier l'expiration des dossiers publics
Gestion de l'organisation	ACE Autoriser	Tous	Modifier la liste de réplicas des dossiers publics
Gestion des dossiers publics	ACE Autoriser	Tous	Modifier la liste de réplicas des dossiers publics
Gestion de l'organisation	ACE Autoriser	Tous	Modifier la rétention des éléments supprimés des dossiers publics
Gestion des dossiers publics	ACE Autoriser	Tous	Modifier la rétention des éléments supprimés des dossiers publics
Gestion de l'organisation	ACE Autoriser	Tous	Créer un dossier public
Gestion des dossiers publics	ACE Autoriser	Tous	Créer un dossier public
Tout le monde Autorité NT\Connexion anonyme	ACE Autoriser	Tous	Créer des propriétés nommées dans la banque d'informations
Tout le monde Autorité NT\Connexion anonyme	ACE Autoriser	Tous	Créer un dossier public
Tout le monde Autorité NT\Connexion anonyme	ACE Autoriser	Desc	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste	`/ msExchPrivateMDB`
Tout le monde Autorité NT\Connexion anonyme	ACE Autoriser	Desc	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste	`/ msExchPublicMDB`
Serveurs Exchange	ACE Autoriser	Desc	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste	`/ siteAddressing`

Nom unique de l'objet : CN=Toutes les listes d'adresses,CN=Conteneur de listes d'adresses,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Tous	Contenu de la liste
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Gestion des dossiers publics	ACE Autoriser	Tous	Propriété d'écriture	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Utilisateurs authentifiés

ACE Autoriser

Tous

Contenu de la liste

Gestion de l'organisation

ACE Autoriser

Tous

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Gestion des dossiers publics

ACE Autoriser

Tous

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Nom unique de l'objet : CN=Listes d'adresses en mode hors connexion,CN=Conteneur de liste d'adresses, CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Tous	Téléchargement du carnet d'adresses en mode hors connexion

Nom unique de l'objet : CN=Adressage,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Tous	Lecture

Nom unique de l'objet : CN=Stratégies de destinataire,CN=<organisation>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Gestion des dossiers publics	ACE Autoriser	Tous	Propriété d'écriture	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Gestion de l'organisation

ACE Autoriser

Tous

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Gestion des dossiers publics

ACE Autoriser

Tous

Propriété d'écriture

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Autorisations du conteneur de partition de configuration

Les tableaux d'autorisations contenus dans cette section répertorient les autorisations qui sont définies par la commande Setup /PrepareAD sur plusieurs sous-conteneurs de la partition de configuration.

Nom unique de l'objet : CN=Sites,CN=Configuration,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`msExchVersion / site`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`msExchVersion / site-link`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`msExchPartnerId / site`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser		Propriété d'écriture	`msExchTransportSiteFlags / site`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`msExchCost / site-link`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Desc	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste	`/ msExchEdgeSyncEHFConnector`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Desc	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste	`/ msExchEdgeSyncMservConnector`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Enfants	Créer un enfant Supprimer l'enfant Supprimer l'arborescence	`msExchEdgeSyncServiceConfig / site`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Desc	Autorisations de lecture Contenu de la liste Propriété de lecture Objet de liste	`/ msExchEdgeSyncServiceConfig`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Enfants	Créer un enfant Supprimer l'enfant Supprimer l'arborescence	`msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig`
Gestion de l'organisation Exchange Trusted Subsystem	ACE Autoriser	Enfants	Créer un enfant Supprimer l'enfant Supprimer l'arborescence	`msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig`

Nom unique de l'objet : CN=Objets supprimés,CN=Configuration,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Commentaires
Serveurs Exchange	ACE Autoriser	Tous	Contenu de la liste
Administration de l'organisation	ACE Autoriser	Tous	Autorisation de lecture Autorisation d'écriture Contenu de la liste Propriété de lecture Objet de liste
Compte d'installation	ACE Autoriser	Tous	Autorisation de lecture Autorisation d'écriture Contenu de la liste Propriété de lecture Objet de liste	Ce compte est utilisé pour exécuter `/PrepareAD`.
Exchange Trusted Subsystem	ACE Autoriser	Tous	Autorisation de lecture Contenu de la liste Propriété de lecture Objet de liste

Autorisations du groupe d'administration Exchange

La commande Setup /PrepareAD configure également les autorisations suivantes pour les groupes d'administration au sein de l'organisation.

Nom unique de l'objet : CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
Gestion de l'organisation	ACE Autoriser	Desc	Service de mise à jour de destinataire d'accès	`msExchExchangeServer`	Autorise les administrateurs des destinataires Exchange à marquer des destinataires à l'aide d'informations sur l'adresse proxy.
AUTORITÉ NT\SYSTÈME	ACE Autoriser	Desc	Service de mise à jour de destinataire d'accès	`msExchExchangeServer`	Autorise les serveurs à marquer des destinataires à l'aide d'informations sur l'adresse proxy.
Gestion des dossiers publics	ACE Autoriser	Desc	Service de mise à jour de destinataire d'accès	`msExchExchangeServer`	Autorise les administrateurs de dossiers publics Exchange à marquer des destinataires à l'aide d'informations sur l'adresse proxy.

Nom unique de l'objet : CN=Paramètres de sécurité avancés,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Aucun	Contenu de la liste

Nom unique de l'objet : CN=Chiffrement,CN=Paramètres de sécurité avancés,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Aucun	Propriété de lecture

Nom unique de l'objet : CN=Baies,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Aucun	Contenu de la liste

Nom unique de l'objet : CN=Groupes de disponibilité de base de données,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Aucun	Contenu de la liste

Nom unique de l'objet : CN=Bases de données,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Aucun	Contenu de la liste

Nom unique de l'objet : CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
Serveurs Exchange	ACE Refuser	Tous	Recevoir en tant que		Les serveurs Exchange ne sont pas autorisés à ouvrir les boîtes aux lettres.
Utilisateurs authentifiés	ACE Autoriser	Aucun	Contenu de la liste

Autorisations du conteneur de groupes de sécurité Microsoft Exchange

Les tableaux d'autorisations contenus dans cette section répertorient les autorisations qui sont définies pour le conteneur de groupes de sécurité Microsoft Exchange dans la partition du domaine racine.

Nom unique de l'objet : OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte Type d'ACE Héritage Autorisations Sur propriété/S'applique à

Gestion de l'organisation

ACE Autoriser

Tous

Contrôle total

Exchange Trusted Subsystem

ACE Autoriser

Tous

Créer un enfant

Supprimer l'enfant

/ Group

Exchange Trusted Subsystem

ACE Autoriser

Desc

Propriété d'écriture

Member / group

Nom unique de l'objet : CN=Gestion de l'organisation,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Gestion de l'organisation	ACE Autoriser	Tous	Contrôle total

Nom unique de l'objet : CN=ExchangeLegacyInterop,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Gestion de l'organisation	ACE Autoriser	Tous	Contrôle total

Nom unique de l'objet : CN=Serveurs Exchange,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Gestion de l'organisation

ACE Autoriser

Tous

Contrôle total

Administrateurs de domaine racine

ACE Autoriser

Tous

Membres autorisés à lire

Membres autorisés à écrire

Administrateurs de domaine enfant

ACE Autoriser

Tous

Membres autorisés à lire

Membres autorisés à écrire

Préparation du domaine

Les tableaux suivants répertorient les autorisations qui sont définies lors de l'exécution de la commande Setup /PrepareDomain.

Nom unique de l'objet : DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
Utilisateurs authentifiés	ACE Autoriser	Tous	Propriété de lecture	`Exchange Information`
AUTORITÉ NT\RÉSEAU	ACE Autoriser	Tous	Propriété de lecture	`Exchange Personal Information`	Accorde des autorisations de lecture du service de transport.
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`groupType`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchMailboxSecurityDescriptor`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMServerWritableFlags`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`userAccountControl`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`canonicalName`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`Exchange Personal Information`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`Exchange Information`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUserCultulre`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`memberOf`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`garbageCollPeriod`
Serveurs Exchange	ACE Autoriser	Tous	Synchronisation de la réplication		Droit étendu
Serveurs Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant Répertorier les enfants	`msExchActiveSyncDevices / User`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchSafeSendersHash`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchPublicDelegates`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchMobileMailboxFlags`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchSafeRecipientsHash`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`userCertificate`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMDtmfMap`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchBlockedSendersHash`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMSpokenName`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMPinChecksum`
Gestion de l'organisation	ACE Autoriser	Tous	Lecture
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Information`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`garbageCollPeriod`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`legacyExchangeDN`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`msExchPublicDelegates`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`textEncodedORAddress`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`proxyAddresses`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`mail`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`displayNamePrintable`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`showInAddressBook`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Personal Information`
Gestion de l'organisation	ACE Autoriser	Tous	Contrôle total	`/ msExchDynamicDistributionList`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`adminDisplayName`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`displayName`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Lecture
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`displayName`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Public Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`msExchPublicDelegates`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`adminDisplayName`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Contrôle total	`/ msExchDynamicDistributionList`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Personal Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`garbageCollPeriod`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`textEncodedORAddress`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`showInAddressBook`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`legacyExchangeDN`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Personal Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`proxyAddresses`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`displayNamePrintable`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`mail`
Autorisations Windows Exchange	ACE Autoriser	Tous	Propriété d'écriture	`pwdLastSet`
Autorisations Windows Exchange	ACE Autoriser	Tous	Supprimer l'arborescence DACL d'écriture	`/ user`
Autorisations Windows Exchange	ACE Autoriser	Tous	Supprimer l'arborescence DACL d'écriture	`/ inetOrgPerson`
Autorisations Windows Exchange	ACE Autoriser	Tous	Propriété d'écriture	`sAMAccountName`
Autorisations Windows Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant	`/ contact`
Autorisations Windows Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant	`/ user`
Autorisations Windows Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant	`/ organizationUnit`
Autorisations Windows Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant	`/ group`
Autorisations Windows Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant	`/ computer`
Autorisations Windows Exchange	ACE Autoriser	Tous	Propriété d'écriture	`Member`
Autorisations Windows Exchange	ACE Autoriser	Tous	Propriété d'écriture	`wwwHomePage`
Autorisations Windows Exchange	ACE Autoriser	Tous	Propriété d'écriture	`countryCode`
Autorisations Windows Exchange	ACE Autoriser	Tous	Propriété d'écriture	`userAccountControl`
Autorisations Windows Exchange	ACE Autoriser	Tous	Propriété d'écriture	`managedBy`
Autorisations Windows Exchange	ACE Autoriser	Tous	Réinitialiser le mot de passe		Droit étendu
Autorisations Windows Exchange	ACE Autoriser	Tous	Changer le mot de passe		Droit étendu

Nom unique de l'objet : CN=AdminSDHolder,CN=Système,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`groupType`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchMailboxSecurityDescriptor`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMServerWritableFlags`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`userAccountControl`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`canonicalName`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`Exchange Personal Information`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`Exchange Information`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUserCultulre`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`memberOf`
Serveurs Exchange	ACE Autoriser	Tous	Propriété de lecture	`garbageCollPeriod`
Serveurs Exchange	ACE Autoriser	Tous	Synchronisation de la réplication		Droit étendu
Serveurs Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant Répertorier les enfants	`msExchActiveSyncDevices / User`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchSafeSendersHash`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchPublicDelegates`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchMobileMailboxFlags`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchSafeRecipientsHash`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`userCertificate`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMDtmfMap`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchBlockedSendersHash`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMSpokenName`
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture	`msExchUMPinChecksum`
Gestion de l'organisation	ACE Autoriser	Tous	Lecture
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Information`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`garbageCollPeriod`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`legacyExchangeDN`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`msExchPublicDelegates`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`textEncodedORAddress`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`proxyAddresses`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`mail`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`displayNamePrintable`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`showInAddressBook`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Personal Information`
Gestion de l'organisation	ACE Autoriser	Tous	Contrôle total	`/ msExchDynamicDistributionList`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`adminDisplayName`
Gestion de l'organisation	ACE Autoriser	Tous	Propriété d'écriture	`displayName`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Lecture
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`displayName`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Public Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`msExchPublicDelegates`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`adminDisplayName`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Contrôle total	`/ msExchDynamicDistributionList`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Exchange Personal Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`garbageCollPeriod`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`textEncodedORAddress`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`showInAddressBook`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`legacyExchangeDN`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`Personal Information`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`proxyAddresses`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`displayNamePrintable`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Propriété d'écriture	`mail`

Nom unique de l'objet : CN=Objets système Microsoft Exchange,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
AUTORITÉ NT\RÉSEAU	ACE Autoriser	Tous	Propriété de lecture	`Exchange Personal Information`
Utilisateurs authentifiés	ACE Autoriser	Tous	Autorisations de lecture
Utilisateurs authentifiés	ACE Autoriser	Tous	Propriété de lecture	`garbageCollPeriod`
Utilisateurs authentifiés	ACE Autoriser	Tous	Propriété de lecture	`adminDisplayName`
Utilisateurs authentifiés	ACE Autoriser	Tous	Propriété de lecture	`modifyTimeStamp`
Serveurs Exchange	ACE Refuser	Tous	Supprimer l'arborescence
Serveurs Exchange	ACE Autoriser	Tous	Lecture Supprimer l'arborescence
Serveurs Exchange	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant	`/ msExchSystemMailbox`
Serveurs Exchange	ACE Autoriser	Tous		`/ publicFolder`
Serveurs Exchange	ACE Autoriser	Desc	Propriété d'écriture	`/ publicFolder`
Serveurs Exchange	ACE Autoriser	Desc	Propriété d'écriture	`/ msExchSystemMailbox`
Gestion de l'organisation	ACE Autoriser	Tous	Lecture
Gestion de l'organisation	ACE Autoriser	Desc	Propriété d'écriture	`/ msExchSystemMailbox`
Gestion de l'organisation	ACE Autoriser	Tous	Créer un enfant Supprimer l'enfant	`/ msExchSystemMailbox`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`mail / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`displayNamePrintable / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`displayName / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`textEncodedORAddress / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`proxyAddresses / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`cn / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`showInAddressBook / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`Exchange Information / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`legacyExchangeDN / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`Exchange Personal Information / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msDSPhoneticDisplayName / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msExchPFContacts / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`garbageCollPeriod / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`name / publicFolder`
Gestion de l'organisation	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msExchPublicDelegates / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Tous	Lecture
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`mail / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`displayNamePrintable / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`displayName / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`textEncodedORAddress / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`proxyAddresses / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`cn / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`showInAddressBook / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`Exchange Information / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`legacyExchangeDN / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`Exchange Personal Information / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msDSPhoneticDisplayName / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msExchPFContacts / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`garbageCollPeriod / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`name / publicFolder`
Gestion des dossiers publics	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msExchPublicDelegates / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Tous	Lecture
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`mail / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`displayNamePrintable / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`displayName / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`textEncodedORAddress / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`proxyAddresses / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`cn / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`showInAddressBook / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`Exchange Information / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`legacyExchangeDN / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`Exchange Personal Information / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msDSPhoneticDisplayName / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msExchPFContacts / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`garbageCollPeriod / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`name / publicFolder`
Exchange Trusted Subsystem	ACE Autoriser	Desc	Propriété de lecture Propriété d'écriture	`msExchPublicDelegates / publicFolder`

Installation du rôle de serveur

Durant l'installation des rôles serveur de transport Hub, de messagerie unifiée, de boîtes aux lettres et d'accès au client, le programme d'installation ajoute le groupe de sécurité universel Organisation au groupe de sécurité Administrateurs sur l'ordinateur local de façon à ce que des membres du groupe de rôles de gestion nommé Gestion de l'organisation puissent gérer le serveur.

Le tableau d'autorisations suivant présente les autorisations qui sont définies lorsque vous installez les rôles serveur de transport Hub, de messagerie unifiée, de boîtes aux lettres ou d'accès au client.

Nom unique de l'objet : CN=<serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
MACHINE$	ACE Autoriser	Tous	Lecture
MACHINE$	ACE Autoriser	Aucun	Propriété d'écriture	`msExchServerSite` `msExchEdgeSyncCredential`
Serveurs Exchange	ACE Autoriser	Tous	Stockage d'accès de transport Stockage de délégation contrainte Stockage d'accès en lecture seule Stockage d'accès en lecture/écriture		Droits étendus
AUTORITÉ NT\RÉSEAU	ACE Autoriser	Tous	Sérialisation de jeton de services Web Exchange		Droit étendu Accordé uniquement sur les objets de rôle serveur d'accès au client.
AUTORITÉ NT\RÉSEAU	ACE Autoriser	Tous	Lecture		Accordé uniquement sur les objets de rôle serveur de transport Hub.
Installation déléguée	ACE Autoriser	Tous	Contrôle total
Installation déléguée	ACE Autoriser	Tous	Lecture
Installation déléguée	ACE Refuser	Tous	Créer un enfant Supprimer l'enfant	`/ msExchPublicMDB`
Utilisateurs authentifiés	ACE Autoriser	Tous	Propriété de lecture
Installation déléguée	ACE Refuser	Tous	Recevoir en tant que Envoyer en tant que		Droit étendu

Groupes de disponibilité de base de données

Les tableaux d'autorisations contenus dans cette section répertorient les autorisations qui sont définies pour les groupes de disponibilité de base de données et ses membres.

Nom unique de l'objet : CN=<NomDAG>,CN=Groupes de disponibilité de base de données,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Utilisateurs authentifiés	ACE Autoriser	Aucun	Propriétés de lecture

Nom unique de l'objet : CN=<NomDAG>,CN=Ordinateurs,DC=<domaine>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Suppression Autorisations de lecture Contenu de la liste Propriété de lecture Supprimer l'arborescence Objet de liste
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Propriété d'écriture	`Logon Information`
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Propriété d'écriture	`description`
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Propriété d'écriture	`displayName`
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Propriété d'écriture	`sAMAccountName`
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Propriété d'écriture	`Account Restrictions`
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Propriété d'écriture	`Validated write to DNS host name`
Comptes d'ordinateur serveur de boîtes aux lettres	ACE Autoriser	Aucun	Propriété d'écriture	`Validated write to service principal name`

Transport Edge

Si vous installez un serveur de transport Edge et établissez un abonnement Edge avec l'organisation Exchange, les autorisations répertoriées dans le tableau d'autorisations suivant sont définies lors de l'instanciation du serveur de transport Edge dans l'organisation.

Nom unique de l'objet : CN=<serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
Serveurs Exchange	ACE Autoriser	Tous	Propriété d'écriture
Utilisateurs authentifiés	ACE Autoriser	Aucun	Propriétés de lecture		L'entrée de contrôle d'accès est définie dans le schéma pour les objets `msExchExchangeServer classdefaultSecurityDescriptor.`

Installation du serveur d'accès au client

Durant l'installation du premier serveur d'accès au client, le conteneur suivant est créé. Le tableau des autorisations suivant présente les autorisations appliquées.

Nom unique de l'objet : CN=Configuration de disponibilité,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Sur propriété/S'applique à	Commentaires
Serveurs Exchange	ACE Autoriser	Desc	Propriété de lecture	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects`	Droit étendu

Installation du serveur de transport Hub

Durant l'installation de chaque serveur de transport Hub, les autorisations suivantes sont définies.

Nom unique de l'objet : CN=Par défaut<Serveur>,CN=Connecteurs de réception SMTP,CN=Protocoles,CN=<Serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Commentaires
ExchangeLegacyInterop	ACE Refuser	Tous	Accepter les en-têtes de forêt
ExchangeLegacyInterop	ACE Refuser	Tous	Accepter les en-têtes d'organisation
Serveurs Exchange	ACE Autoriser	Tous	Accepter tous les expéditeurs
ExchangeLegacyInterop	ACE Autoriser	Tous	Accepter tous les expéditeurs
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Accepter tous les expéditeurs	Il s'agit de l'identificateur de sécurité (SID) connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter tous les expéditeurs	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Accepter tous les expéditeurs	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Accepter EXCH50
ExchangeLegacyInterop	ACE Autoriser	Tous	Accepter EXCH50
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Accepter EXCH50	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter EXCH50	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Accepter EXCH50	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Envoyer des messages à n'importe quel destinataire
ExchangeLegacyInterop	ACE Autoriser	Tous	Envoyer des messages à n'importe quel destinataire
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Envoyer des messages à n'importe quel destinataire	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Envoyer des messages à n'importe quel destinataire	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Envoyer des messages à n'importe quel destinataire	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Accepter XShadow
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter XShadow	Il s'agit du SID connu pour les serveurs de transport Edge.
Serveurs Exchange	ACE Autoriser	Tous	Accepter les en-têtes de routage
ExchangeLegacyInterop	ACE Autoriser	Tous	Accepter les en-têtes de routage
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Accepter les en-têtes de routage	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter les en-têtes de routage	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Accepter les en-têtes de routage	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Accepter les en-têtes de forêt
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Accepter les en-têtes de forêt	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter les en-têtes de forêt	Il s'agit du SID connu pour les serveurs de transport Edge.
Serveurs Exchange	ACE Autoriser	Tous	Accepter l'indicateur d'authentification
ExchangeLegacyInterop	ACE Autoriser	Tous	Accepter l'indicateur d'authentification
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Accepter l'indicateur d'authentification	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter l'indicateur d'authentification	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Accepter l'indicateur d'authentification	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Ignorer le blocage du courrier indésirable
ExchangeLegacyInterop	ACE Autoriser	Tous	Ignorer le blocage du courrier indésirable
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Ignorer le blocage du courrier indésirable	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Ignorer le blocage du courrier indésirable	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Ignorer le blocage du courrier indésirable	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Ignorer la limite de taille du message
ExchangeLegacyInterop	ACE Autoriser	Tous	Ignorer la limite de taille du message
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Ignorer la limite de taille du message	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Ignorer la limite de taille du message	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Ignorer la limite de taille du message	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Accepter les en-têtes d'organisation
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Accepter les en-têtes d'organisation	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter les en-têtes d'organisation	Il s'agit du SID connu pour les serveurs de transport Edge.
Serveurs Exchange	ACE Autoriser	Tous	Envoyer des messages au serveur
ExchangeLegacyInterop	ACE Autoriser	Tous	Envoyer des messages au serveur
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Envoyer des messages au serveur	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Envoyer des messages au serveur	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Envoyer des messages au serveur	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Serveurs Exchange	ACE Autoriser	Tous	Accepter un expéditeur de domaine faisant autorité
ExchangeLegacyInterop	ACE Autoriser	Tous	Accepter un expéditeur de domaine faisant autorité
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Accepter un expéditeur de domaine faisant autorité	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Accepter un expéditeur de domaine faisant autorité	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Accepter un expéditeur de domaine faisant autorité	Il s'agit du SID connu pour les serveurs sécurisés en externe.
Utilisateurs authentifiés	ACE Autoriser	Tous	Envoyer des messages à n'importe quel destinataire
Utilisateurs authentifiés	ACE Autoriser	Tous	Accepter les en-têtes de routage
Utilisateurs authentifiés	ACE Autoriser	Tous	Ignorer le blocage du courrier indésirable
Utilisateurs authentifiés	ACE Autoriser	Tous	Envoyer des messages au serveur

Nom unique de l'objet : CN=Client<Serveur>,CN=Connecteurs de réception SMTP,CN=Protocoles,CN=<Serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations
Utilisateurs authentifiés	ACE Autoriser	Tous	Envoyer des messages à n'importe quel destinataire
Utilisateurs authentifiés	ACE Autoriser	Tous	Accepter les en-têtes de routage
Utilisateurs authentifiés	ACE Autoriser	Tous	Ignorer le blocage du courrier indésirable
Utilisateurs authentifiés	ACE Autoriser	Tous	Envoyer des messages au serveur

Création de connecteurs d'envoi SMTP

Le tableau suivant répertorie les autorisations qui sont définies lorsque vous créez des connecteurs d'envoi.

Nom unique de l'objet : CN=<Nom du connecteur>,CN=Connexions,CN=<groupe de routage>,CN=Groupes de routage, CN=<groupe d'administration>,CN=<organisation>

Compte	Type d'ACE	Héritage	Autorisations	Commentaires
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Envoyer les en-têtes d'organisation	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Envoyer les en-têtes d'organisation	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Envoyer les en-têtes de forêt	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Envoyer les en-têtes de forêt	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Envoyer XShadow	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Envoyer XShadow	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-10	ACE Autoriser	Tous	Envoyer les en-têtes de routage	Il s'agit du SID connu pour les serveurs partenaires.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Envoyer les en-têtes de routage	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Envoyer les en-têtes de routage	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Envoyer les en-têtes de routage	Il s'agit du SID connu pour les serveurs sécurisés en externe.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ACE Autoriser	Tous	Envoyer les en-têtes de routage	Il s'agit du SID connu pour les serveurs Exchange hérités.
AUTORITÉ NT\CONNEXION ANONYME	ACE Autoriser	Tous	Envoyer les en-têtes de routage
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE Autoriser	Tous	Envoyer Exch50	Il s'agit du SID connu pour les serveurs de transport Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE Autoriser	Tous	Envoyer Exch50	Il s'agit du SID connu pour les serveurs de transport Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE Autoriser	Tous	Envoyer Exch50	Il s'agit du SID connu pour les serveurs sécurisés en externe.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ACE Autoriser	Tous	Envoyer Exch50	Il s'agit du SID connu pour les serveurs Exchange hérités.

Partager via

Référence d'autorisations de déploiement d'Exchange 2010

Préparation des autorisations héritées d'Exchange

Nom unique de l'objet : DC=<domaine>

Nom unique de l'objet : CN=AdminSDHolder,CN=Système,DC=<domaine>

Nom unique de l'objet : CN=<organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Préparation des autorisations Active Directory

Autorisations du conteneur Microsoft Exchange

Nom unique de l'objet : CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Autorisations du conteneur du service Microsoft Exchange Autodiscover

Nom unique de l'objet : CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domaine>

Autorisations du conteneur d'organisation Microsoft Exchange

Nom unique de l'objet : CN=<organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domaine>

Nom unique de l'objet : CN=Toutes les listes d'adresses,CN=Conteneur de listes d'adresses,CN=<organisation>

Nom unique de l'objet : CN=Listes d'adresses en mode hors connexion,CN=Conteneur de liste d'adresses, CN=<organisation>

Nom unique de l'objet : CN=Adressage,CN=<organisation>

Nom unique de l'objet : CN=Stratégies de destinataire,CN=<organisation>

Autorisations du conteneur de partition de configuration

Nom unique de l'objet : CN=Sites,CN=Configuration,DC=<domaine>

Nom unique de l'objet : CN=Objets supprimés,CN=Configuration,DC=<domaine>

Autorisations du groupe d'administration Exchange

Nom unique de l'objet : CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Nom unique de l'objet : CN=Paramètres de sécurité avancés,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Nom unique de l'objet : CN=Chiffrement,CN=Paramètres de sécurité avancés,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Nom unique de l'objet : CN=Baies,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Nom unique de l'objet : CN=Groupes de disponibilité de base de données,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Nom unique de l'objet : CN=Bases de données,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Nom unique de l'objet : CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Autorisations du conteneur de groupes de sécurité Microsoft Exchange

Nom unique de l'objet : OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Nom unique de l'objet : CN=Gestion de l'organisation,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Nom unique de l'objet : CN=ExchangeLegacyInterop,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Nom unique de l'objet : CN=Serveurs Exchange,OU=Groupes de sécurité Microsoft Exchange,DC=<domaine racine>

Préparation du domaine

Nom unique de l'objet : DC=<domaine>

Nom unique de l'objet : CN=AdminSDHolder,CN=Système,DC=<domaine>

Nom unique de l'objet : CN=Objets système Microsoft Exchange,DC=<domaine>

Installation du rôle de serveur

Nom unique de l'objet : CN=<serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Groupes de disponibilité de base de données

Nom unique de l'objet : CN=<NomDAG>,CN=Groupes de disponibilité de base de données,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Nom unique de l'objet : CN=<NomDAG>,CN=Ordinateurs,DC=<domaine>

Transport Edge

Nom unique de l'objet : CN=<serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=Groupes d'administration,CN=<organisation>

Installation du serveur d'accès au client

Nom unique de l'objet : CN=Configuration de disponibilité,CN=<organisation>

Installation du serveur de transport Hub

Nom unique de l'objet : CN=Par défaut<Serveur>,CN=Connecteurs de réception SMTP,CN=Protocoles,CN=<Serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=<organisation>

Nom unique de l'objet : CN=Client<Serveur>,CN=Connecteurs de réception SMTP,CN=Protocoles,CN=<Serveur>,CN=Serveurs,CN=<groupe d'administration>,CN=<organisation>

Création de connecteurs d'envoi SMTP

Nom unique de l'objet : CN=<Nom du connecteur>,CN=Connexions,CN=<groupe de routage>,CN=Groupes de routage, CN=<groupe d'administration>,CN=<organisation>

Ressources supplémentaires